IDA-Pro7.0安装findcrypt-yara插件

最近在尝试安装IDA插件findcrypt-yara时遇到一些问题,浪费了许多时间,在此简短的归纳总结一下

一、环境

IDA版本:IDA Pro 7.0 绿色版

findcrypt-yara插件:findcrypt-yara

二、说明

由于findcrypt.zipfindcrypt2.zip 过于老旧,因此尝试使用GitHub上的新项目findcrypt-yara。findcrypt-yara项目使用python编写,采用yara规则进行匹配加密常量以识别加密方式,因此IDA Pro需要python的支持,并且需要安装python的yara包,这里的IDA已经自带python及IDAPython插件,因此我们还需要安装yara包。

三、安装步骤

1)安装yara包

问题就出在这里,由于我所使用的IDA自带的python是绿色版的,而我机器上又安装了python环境,因而在使用pip install yara-python命令安装时,是使用的我安装的python所带的pip,因而yara包是安装到了我自己安装的python环境里。

因此这里需要切换到IDA自带的绿色版python目录的Scripts目录里,再执行pip install yara-python才是使用自带的绿色版python的pip,这样yara包才会安装到这个绿色版python里。

2)安装findcrypt-yara插件

将findcrypt-yara项目中的findcrypt3.py及findcrypt3.rules两个文件复制到IDA目录中的plugins目录中即可。

使用插件:IDA菜单Edit->plugins->findcrypt

文章作者: TechOtaku
文章链接: http://techotaku.me/2018/05/13/IDA-Pro7-0安装findcrypt-yara插件/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 徒然の博客